ZKP的起源和發展歷程：自1980年代至今_BSP:BSPT幣

作者：Preethi Kasireddy，DappCamp創始人；翻譯：金色財經cryptonaitive

ZKP（零知識證明）在加密貨幣大爆發后受到歡迎，但它們的悠久歷史可以追溯到 1980 年代。本文探討 ZKP 這些年來的起源和發展。

ZKP的基本前提是，一方（prover）可以向另一方（verifier）證明他們了解特定信息，而無需實際透露該信息是什么。通過這樣做，Prover可以證明他們對特定事實或數據的了解，而無需透露任何其他信息。

現在，讓我們開始探索ZKP的歷史和發展。

ZKP 在加密貨幣爆發后獲得了關注，因為它們允許在兩方之間進行無需信任和匿名的交換，但這個概念本身并不新鮮。ZKP 的歷史其實可以追溯到 20 世紀 80 年代后期，當時 Shafi Goldwasser、Silvio Micali 和 Charles Rackoff 在一篇題為“The Knowledge Complexity of Interactive Proof-Systems”（交互式證明系統的知識復雜性）的論文中引入這個概念。

作者描述的初始概念涉及稱為“交互式協議”的東西，其中prover和verifier將來回通信（反復交互）以使verifier相信prover知道正確的信息。這種方法雖然有其自身突破，但被證明是耗時且資源密集型的，尤其是在涉及大量數據時。為了使ZKP具有可擴展性，它們需要是非交互式的。

多鏈交易基礎設施zkLink完成第二輪代碼審計:5月9日消息，基于零知識證明的多鏈交易基礎設施 zkLink 宣布通過第二輪代碼安全審計，本輪審計由 ABDK Consulting 負責，包括智能合約、ZK-Rollup 電路和增量三個部分，均未發現任何重大安全問題，zkLink 計劃在接下來的幾個月內采取額外的安全措施，包括即將開啟的用戶資金安全測試 Dunkirk 等。此前 zkLink 于 2021 年 6 月完成由 Certik 進行的第一輪代碼審計，未發現重大漏洞。[2023/5/9 14:51:28]

Peggy（證明者）和 Victor（驗證者）

1986 年，Fiat 和 Shamir 發明了 Fiat-Shamir heuristic（Fiat-Shamir 啟發式，一種采用交互式知識證明并據此創建數字簽名的技術），成功地將交互式零知識證明轉變為非交互式零知識證明。現在，這使得 ZKP 成為非交互式的，并為 ZKP 的廣泛、可擴展使用奠定了基礎。

交互式與非交互式ZKP

ZKP 的下一次重大推動發生在 2011 年，Nir Bitansky、Ran Canetti和Alessandro Chiesa在密碼學理論國際研討會上發表了一篇名為“From Extractable Collision Resistance to SNARKs and Back Again" （從可提取的抗碰撞性到 SNARKs，然后再反向操作 ）的論文。

Aave社區發起“將V3部署至zkSync Era主網”的溫度檢查投票:4月13日消息，Snapshot投票頁面顯示，Aave社區發起“將Aave V3部署至zkSync Era主網”的溫度檢查投票，該提案目前支持率為97.3%，投票將于4月15日截止。

此溫度檢查投票為Aave治理提供了在zkSync Era主網上部署Aave V3的機會，并有限部署了初始資產：USDC和ETH。若此次投票通過，則進入ARFC階段進行進一步討論、風險參數評估網絡分析和最終確定提案。如果ARFC階段快照成功，則將該提案作為AIP提交以進行投票和鏈上治理批準。[2023/4/13 14:01:33]

zkSNARK如何工作？

這篇論文表明，我們可以使用一種稱為可提取抗碰撞 (ECR) 哈希函數的東西來創建 SNARKS（簡潔的非交互式知識論證）。SNARKS 基本上是“簡潔”的 ZKP，這意味著它們體積小，可以在幾秒鐘內得到驗證。

ZKP、NIZKP 和 zkSNARK 的比較

從這里開始，ZKP 的進程加快了，并促成了 2013 年Pinocchio的誕生。

Pinocchio是零知識簡潔非交互式知識論證 (zk-SNARK) 證明系統的第一個概念驗證實現之一，被認為是該領域的突破。它在幾年前一直被使用，但隨后被更新、更高效版本的zk-SNARKs所取代。

Polygon聯合創始人：zkEVM主網啟動日期已確定:金色財經報道，Polygon聯合創始人Sandeep Nailwal發推表示，剛從zkEVM主網啟動高級委員會出來，我們（已經）有主網啟動的日期。此前報道，去年12月Polygon zkEVM上線最終測試網版本，表示這是主網啟動前的最后一步。[2023/1/17 11:15:43]

當時 zkSNARKS 的兩個主要缺點是：

● 可信設置的要求

zkSNARKs 需要prover和verifier之間的“可信設置”。此設置階段用于創建一組初始參數，然后用于生成和驗證 zk 證明。

生成這些參數需要一些秘密信息。一群人通常生成這些秘密，然后使用這些秘密來生成參數。一旦生成參數，秘密就被丟棄。然而，由于秘密輸入需要由一組人生成，因此需要我們“信任”這些人。

在區塊鏈中，我們希望最小化信任，這就是為什么“可信設置”通常不受青睞的原因。

zk-SNARK 證明依賴于prover和verifier之間的初始“可信設置”，這意味著需要一組公共參數來構建零知識證明，從而構建隱私交易。這些參數幾乎就像游戲規則一樣，它們被編碼到協議中，是證明交易有效的必要因素之一。這會產生潛在的中心化問題，因為參數通常由非常小的團隊制定。

多參與者可信設置的工作流程 來源

● 非后量子安全

zkSNARKS 不是后量子安全的，因為它們依賴于公鑰加密。公鑰密碼學依賴于解決特定數組的離散對數問題的難度。但隨著量子計算機的誕生，公鑰密碼學面臨風險，因為計算機可以將大數分解為素數，這意味著解決離散對數問題不再困難。

ZKSwap公布新產品L2.Cash細節:Layer 2去中心化交易所ZKSwap分享了新產品L2.Cash的細節。該產品可以免費使用，因為ZKSwap的所有Layer 2交易100%免費，用戶僅為向Layer 1的存取款支付費用。L2.Cash應被稱為零售交易的支付協議，因其是L2 Labs為零售用戶和商家開發的第一個“開箱即用”的解決方案。由于zk-proof基礎設施允許極低的交易延遲和L1/L2狀態的完全一致性，L2.Cash可實現幾乎即時的交易，確保所有ERC-20代幣最大可達到1000 Tx/s的處理效率，同時聲稱擁有高效的空投功能：所有基于以太坊的代幣都可以通過其工具免費分發，并可每秒鐘向10個用戶空投代幣。此外，L2 Labs團隊正在積極研究zk-rollups技術與EVM連接的可能性。在完成部署后，該工具將允許ZKSwap擴展到所有與EVM兼容的區塊鏈。（U.Today）[2021/8/18 22:21:31]

ZK行業正在努力構建解決這兩個問題的協議。

接下來是Groth。Groth 于 2016 年推出，是使 zkSnarks 高效且極其實用的首批協議之一。這是一個巨大的突破，并立即得到采用。事實上，由于它的性能和簡單性，它今天仍在許多協議中使用，并且圍繞它構建了許多工具。

ZKP的下一個重要里程碑是 2017 年 Bulletproofs 的推出。我記得 Bulletproofs 在 2017 年大肆宣傳。Bulletproofs 是簡短的非交互式零知識證明，可以證明某個加密值在給定的“范圍內”不透露任何有關數據的信息（例如，我可以在不透露金額的情況下向你證明交易價值在一定范圍內）。這些“范圍證明”可以聚合成一個簡短的證明。Bulletproof協議變得如此流行的原因是因為它們使比特幣的機密交易不僅成為可能，而且變得高效。Bulletproof技術最大的區別在于它不需要可信設置。這在區塊鏈行業非常重要，因為我們專注于構建無需信任的網絡，正如你可以想象的那樣，行業很快就采用了Bulletproof技術。

動態 | zkSNARK合約“輸入假名”漏洞致眾多混幣項目爆雷:據安比實驗室消息，大量零知識證明項目由于錯誤地使用了某個zkSNARKs合約庫，引入“輸入假名 (Input Aliasing) ”漏洞，可導致偽造證明、雙花、重放等攻擊行為發生，且攻擊成本極低。眾多以太坊社區開源項目受影響，其中包括三大最常用的zkSNARKs零知開發庫snarkjs、ethsnarks、ZoKrates，以及近期大熱的三個混幣（匿名轉賬）應用hopper、Heiswap、Miximus。 事實上，所有使用了該zkSNARKs 密碼學合約庫的項目都應該立即開展自查，評估是否受影響。修復很簡單。僅需在驗證函數中添加對輸入參數大小的校驗，強制要求input值小于上面提到的q值。即嚴禁“輸入假名”，杜絕使用多個數表示同一個點。 所幸的是，目前常見的zkSNARKs合約庫都火速進行了更新，從底層庫層面杜絕“輸入假名”。安比（SECBIT）實驗室認為，底層庫的更新誠然能夠很大程度上消除掉后續使用者的安全隱患，但若該問題的嚴重性沒有得到廣泛地宣傳和傳播，依舊會有開發者不幸使用到錯誤版本的代碼，或者是根據錯誤的教程進行開發，從而埋下安全隱患。[2019/7/29]

SNARKs、STARKs 和 Bulletproofs 的Runtime比較

2018 年，STARKS（Zero-Knowledge Scalable Transparent ARguments of Knowledge——零知識可擴展透明知識論證——的縮寫）通過緩解 zkSNARKS 的兩個缺點在業界引起了轟動：

● STARKS 是“后量子安全”的，這意味著它們依賴于哈希函數而不是橢圓曲線作為證明機制。

● STARKS 不需要可信設置。相反，zk-STARKS 使用可公開驗證的隨機源作為初始參數。

zkSTARKS 的最大缺點是它們的證明很大。這使得它不適合區塊鏈，因為鏈上存儲需要花錢。然而，STARKS 超過 SNARKS 脫穎而出，并讓行業擺脫可信設置。

zkSNARKs 和 zkSTARKs 在各種參數上的比較

2019 年對 zkSNARKS 來說是重要的一年，該領域有 3 項重大創新：

● SONIC

Sonic 做出的最大貢獻是支持“通用”且可不斷升級的參考字符串。這意味著你不需要進行可信設置來為每個程序生成初始參數。相反，你只需執行一次可信設置，然后對所有程序使用相同的參數。雖然這并不能完全減輕可信設置的缺點，但它確實使它變得更好了。

Sonic 還具有恒定的證明大小（這很好，因為證明大小不會隨著程序的復雜性而增加）并引入了批量驗證，從而減少了驗證時間。但是，當你不進行批處理時，驗證時間非常長。

● MARLIN

Marlin 是 Sonic 的顯著改進版本，證明時間減少了 10 倍。它還提供了更快的驗證而無需批處理，并將驗證時間縮短了 3 倍。

● PLONK

PLONK 是“Permutations over Lagrange-bases for Oecumenical Non Interactive Arguments of Knowledge ”（普遍用途的非交互式知識論證的拉格朗日基排列）的縮寫，是 SONIC 的另一個改進版本，它的一個特性是，它的證明時間減少了 5 倍。這里的重大創新是 PLONK 允許自定義門（gate）而不是通常的加法/乘法，這意味著你可以為更復雜的程序構建 zk 證明。

PlonK 和 Marlin 都用通用設置替換了 Groth16 中電路特定的可信設置。隨著 PLONK 的推出，加密社區也意識到他們甚至可以構建“zkEVM”，這將使我們能夠在以太坊上獲取任何智能合約代碼并將其轉換為零知識證明。Vitalik 曾經寫過一篇精彩文章，解釋了它背后的數學原理。

這標志著ZKP亂戰的結束，但也僅僅只是個開始！

各協議證明大小和安全假設圖，來源

HALO2

2020 年，Zcash 團隊推出了 HALO 2（HALO 的繼后繼者），它結合了 PLONK 和 Bulletproofs 的優點，然后允許在沒有可信設置的情況下進行快速驗證。

HALO vs HALO 2，來源

快進到 2022 年，我們開始再次看到新協議開發的加速。

HYPERPLONK 

HYPERPLONK 于 2022 年推出，是一種 zkp系統，證明是完全線性時間的并支持高度和查找自定義門。它試圖提高 PLONK 的靈活性，提高其速度并提供更多好處。

雖然 PLONK 本身非常強大，但它有一定的局限性，尤其是在證明大型聲明或嘗試使用高度并行的硬件時。在證明諸如rollup和 zkEVM 等大型復雜命令時，這些限制尤為重要。HyperPlonk 旨在解決這個問題。

PLONKY2

最近，Polygon 于 2022 年 1 月發布的 Plonky2 是 ZKP 世界中最新的。它是一種遞歸 SNARK，比現有其他方案快 100 倍。它結合了 PLONK 和 FRI，以獲得最好的 STARK（即快速證明和無可信設置）和最好的 SNARK（即支持遞歸和以太坊上的低驗證成本）。

這將我們帶到了今天。這就是 ZKP生態今天的樣子：

ZKP生態

雖然沒有哪個“協議”被認為是最好的，但了解所有這些協議、它們的優點和局限性有助于我們為特定用例和設置選擇最好的一個。我的團隊收集了我今天介紹的所有協議的信息，并在此處為你總結：

各ZKP特性全匯總

ZKP 有著悠久而豐富的歷史，每個協議都在突破極限，提高速度并擴展這項技術的限制。從需要prover和verifier來回交換信息的第一次迭代，我們已經走了很長一段路。

在我看來，我們才剛剛開始。你認為 ZKP 領域的下一個重大創新是什么？

Beosin

金色薦讀

曼昆區塊鏈法律

探索貓

Block unicorn

白澤研究院

veDAO研究院

深潮TechFlow

Biteye

Tags：BSPNBSARKNARBSPT幣nbs幣官網arkm幣空投LunarX

以太坊價格